RRHH en pymes: cuando el empleado comete el error… paga la empresa

Sanjiv Sharma
En esta página

1. Introducción

En muchas pymes, la protección de datos se percibe como un problema técnico o legal. Sin embargo, una parte muy importante de las sanciones de la AEPD tiene un origen mucho más simple:

Un error humano en el departamento de RRHH.

Publicar un documento, reenviar un email, compartir un listado o acceder a datos sin necesidad.
Errores cotidianos que, a efectos del GDPR, no eximen de responsabilidad a la empresa.

2. ¿Por qué RRHH es un área de alto riesgo en las pymes?

El departamento de RRHH gestiona:

  • Datos identificativos
  • Datos bancarios
  • Información laboral
  • Bajas médicas
  • Sanciones disciplinarias
  • Evaluaciones internas

? Es decir, datos personales sensibles, tratados de forma constante y por varias personas.

En pymes, además:

  • RRHH suele recaer en una sola persona
  • Se usan herramientas básicas (email, Excel, WhatsApp)
  • No hay protocolos claros ni formación específica

Esto convierte RRHH en un punto crítico de riesgo GDPR.

3. Caso 1: Publicación indebida de datos laborales

Resolución AEPD: PS/00101/2020

Entidad: pequeña empresa
Multa: 2.000 €

¿Qué ocurrió?

La empresa publicó internamente (o envió por error):

  • Datos laborales de empleados
  • Información que no era necesaria para los destinatarios
  • Sin medidas de anonimización

Un trabajador presentó reclamación ante la AEPD.

La empresa alegó que fue un error puntual del empleado.

Error clave

  • Difusión innecesaria de datos personales
  • Falta de control sobre los canales internos
  • No aplicar el principio de minimización

La AEPD fue clara:

El error del empleado no elimina la responsabilidad del responsable del tratamiento.

4. Caso 2: Error de un empleado sin formación en GDPR

Resolución AEPD: PS/00067/2022

Entidad: pyme
Multa: 4.000 €

¿Qué ocurrió?

Un empleado manejó datos personales:

  • Sin conocer límites ni obligaciones
  • Sin normas internas claras
  • Sin formación previa en protección de datos

Como resultado:

  • Se produjo una comunicación indebida
  • Hubo reclamación
  • La empresa fue sancionada

La AEPD valoró negativamente la ausencia de formación.

5. ¿Qué artículos del GDPR se vulneraron?

En ambos casos, la AEPD aplicó principalmente:

  • Art. 5 GDPR – Principios (minimización, confidencialidad)
  • Art. 24 GDPR – Responsabilidad del responsable
  • Art. 32 GDPR – Medidas organizativas
  • Art. 39 GDPR – Formación y concienciación (indirectamente)

? El GDPR exige prevenir, no justificar después.

6. Errores muy comunes en RRHH de pymes

  • Compartir Excel con más datos de los necesarios
  • Reenviar emails sin revisar destinatarios
  • Usar WhatsApp para temas laborales
  • No separar información por perfiles
  • Aquí nadie nos ha formado en GDPR

Todo esto aparece en sanciones reales.

7. ¿Cómo se habría evitado la sanción?

Con medidas muy asumibles para una pyme:

✔️ Protocolos claros de tratamiento de datos laborales
✔️ Formación básica y específica para RRHH
✔️ Separación de accesos por rol
✔️ Uso controlado del email
✔️ Documentación mínima de procesos

No hace falta departamento legal interno.

8. Lección práctica para pymes

La empresa responde siempre,
incluso cuando el error lo comete un empleado.

Por eso, la AEPD no pregunta quién se equivocó, sino:

¿Qué hizo la empresa para evitarlo?

9. Checklist rápido para RRHH en tu empresa

Respóndete con sinceridad:

  • RRHH ha recibido formación en GDPR
  • Existen reglas claras para enviar información
  • No se comparten listados completos innecesarios
  • Los accesos están limitados
  • Los errores se previenen, no se improvisan

Si alguna casilla está vacía, el riesgo es real.

Artículos relacionados
Microsoft sancionada pro cookies: lecciones de cumplimiento RGPD para pymes Clínicas pequeñas y centros médicos: accesos internos mal controlados WhatsApp y email en pymes: dos errores cotidianos que acaban en sanción GDPR Videovigilancia en pymes: dos errores comunes que acaban en sanción AEPD